ISA Server 2004 Service Pack 2 – это следующий шаг в защите для ISA Server 2004. В ISA Server 2004 Service Pack 2 входит множество новых функций, таких как HTTP-компрессия, кэширование обновлений BITS, Diffserv для HTTP и некоторые другие. В этой статье я покажу вам, как установить Service Pack 2, и сделаю обзор новых возможностей.
ISA Server 2004 Service Pack 2 доступен для скачивания с 31 января 2006 года. SP2 доступен для версий ISA Server 2004 Standard и ISA Server 2004 Enterprise.
ISA Server 2004 SP2 также включает в себя исправления, выпущенные с момента выхода ISA Server 2004 SP1. Список исправлений находится здесь.
Компания Microsoft рекомендует устанавливать ISA Server 2004 SP2 как можно скорее. Перед установкой протестируйте ISA Server 2004 SP2.
В 2005 году компания Microsoft объявила об обновлениях ISA Server 2004 для филиалов. Данные обновления должны помочь администраторам соединять сети филиалов с помощью ISA Server 2004.
Все функции обновлений для филиалов входят в состав ISA Server 2004 SP2.
В ISA Server 2004 SP2 входят следующие обновления:
Важное замечание до установки SP2:
Есть возможность установить ISA Server 2004 Service Pack 2 при установленном Windows Installer 3.0, однако Windows Installer 3.0 должен быть установлен ДО установки ISA Server 2004 Service Pack 2.
Важное замечание для ISA Server 2004 Enterprise Edition:
— ISA Server 2004 SP2 должен быть установлен на все члены массива ISA-серверов и на сервер хранения настроек.
— Если какие-либо службы ISA не запускаются на членах массива ISA-серверов, попытайтесь запустить их вручную, поскольку существует проблема при связи членов массива с сервером хранения настроек
Другие трудности:
Вначале скачайте отсюда ISA Server 2004 SP2. Далее следуйте инструкциям мастера установки.
Рисунок 1: Начало работы мастера установки
Прочтите Лицензионное соглашение, примите его и нажмите Update (Обновить).
Рисунок 2: Установка завершена
После установки SP2 перезагрузите компьютер.
После перезагрузки автоматически загрузится web-страница, рассказывающая о том, так защитить ISA Server 2004. Я надеюсь, что вы следуете всем инструкциям web-сайта Microsoft о ISA-сервере по защите ISA Server 2004 и серверных операционных систем.
Рисунок 3: Установка завершена
Запустите консоль управления ISA Server 2004. Первое из видимых изменений, которое вы увидите, это Программа улучшения работы потребителя. Если вы нажмете на ссылку, показанную на Рисунке 4, вам представится право выбора участия в Программе улучшения работы потребителя.
Рисунок 4: Обратная связь с потребителем
Нажмите Yes (Да) или No (Нет).
Рисунок 5: Обратная связь с потребителем
В ISA Server 2004 SP2 встроена новая функция – Отслеживание уровня ошибок. С ее помощью ISA-сервер отсылает важную информацию о проблемах и аварийных ситуациях в Microsoft. Microsoft заявляет, что никакая конфиденциальная и личная информация им не передается.
Отслеживание уровня ошибок создает файл ISALOG.BIN размером около 400 МБ в папке %windir%\debug.
Включение этой функции может иметь негативные последствия для производительности, поэтому у вас всегда есть возможность отключить ее.
Для изменения или отключения функции отслеживания уровня ошибок запустите редактор реестра и откройте ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ISATrace. Для изменения размера файла измените значение параметра CircularlLogSizeMB. Для отключения функции поставьте значение параметра BootTracing равным 0 и перезагрузите компьютер.
В ISA Server 2004 SP2 стало возможным кэшировать обновления из центров Microsoft Update и Windows Server Update Services (WSUS), передающихся с помощью BITS (Background Intelligent Transfer Service — Фоновая интеллектуальная служба передачи). Кэширование данных Windows Update доступно с помощью нового правила кэширования. Щелкните правой кнопкой кнопку Cache (Кэширование) и создайте новое правило кэширования данных Microsoft Update.
Рисунок 6: Новое правило кэширования данных Microsoft Update
Имя правила определено заранее, его нельзя изменить.
Рисунок 7: Имя правила определено заранее
Мастер создания правила кэширования данных Microsoft Update автоматически создает набор имен доменов с адресом web-сайта центра Microsoft Update. На следующем рисунке показан набор имен доменов для ISA Server 2004 Enterprise. В ISA Server 2004 Standard SP2 создается больше адресов URL в наборе доменов.
Рисунок 8: Новое правило кэширования данных Microsoft Update
После создания правила есть возможность включения и отключения кэширования содержимого, полученного с помощью BITS.
Рисунок 9: Включение и отключение кэширования BITS
В ISA Server 2000 была возможность создания правил полосы пропускания для ограничения трафика. Эти правила редко использовались в ISA Server 2000, поэтому Microsoft не включила эту функцию в ISA Server 2004.
В ISA Server 2004 SP2 появилась возможность использовать Diffserv для HTTP, поскольку некоторое количество пользователей версии Enterprise просили об этой возможности. Diffserv – это расширение протокола IP, которое использует биты в заголовке IP для установки приоритета трафика HTTP/HTTPS. Для внедрения Diffserv вы должны хорошо понимать работу Diffserv и сетевых протоколов. Diffserv для HTTP в ISA Server 2004 использует приоритеты Diffserv, настроенные на ваших маршрутизаторах и других сетевых устройствах.
Предпочтения для Diffserv можно определить в консоли управления ISA Server 2004 в установках глобальной политики HTTP.
Рисунок 10: Установка предпочтений Diffserv
В ISA Server 2004 используется фильтр Diffserv. Данный фильтр можно найти в консоли управления ISA Server 2004 в разделе Global (Глобальные настройки) страницы Webfilters (Web-фильтры). У вас есть возможность только включить или выключить фильтр Diffserv.
исунок 11
: Фильтр Diffserv в консоли управления ISA-сервераУстановка приоритета пакетов – это глобальная настройка для всего трафика HTTP и HTTPS. Фильтр Diffserv проверяет все URL или домены и устанавливает приоритет пакетов в соответствии с приоритетами Diffserv.
Для включения Diffserv зайдите в глобальные установки HTTP с помощью консоли управления ISA-сервера и нажмите Specify Diffserv Preferences (Указать предпочтения Diffserv).
Рисунок 12: Включение Diffserv
Обратите внимание, что Diffserv не поддерживает контроль полосы пропускания, основанный на пользователях или группах. К тому же при использовании клиента web-прокси Diffserv ограничен протоколами HTTP и HTTPS.
Существует возможность установить приоритеты с помощью битов Diffserv, настроенных в вашей сети.
Рисунок 13: Определение приоритетов
Вы можете определить различные приоритеты для адресов URL и доменов. Для добавления URL или домена и их приоритета нажмите Add (Добавить).
Рисунок 14: Добавление приоритетов к URL
Теперь примените Diffserv к сетям, которые будут использовать Diffserv.
Рисунок 15: Применение Diffserv к сетям
ISA Server 2004 SP2 позволяет использовать HTTP-компрессию. HTTP-компрессия в ISA Server 2004 – это настройка глобальной политики HTTP. Она применяется ко всему трафику HTTP, который проходит через ISA-сервер из или в определенную сеть. HTTP-компрессия основана на двух web-фильтрах:
Данный фильтр отвечает за компрессию и декомпрессию запросов и откликов HTTP. Он обладает высоким приоритетом, поскольку он отвечает за декомпрессию. Декомпрессия проходит до того, как будут использованы другие web-фильтры.
Данный фильтр отвечает за кэширование сжатого содержимого и обслуживает запросы на сжатое содержимое из кэша. У него самый низкий приоритет, поскольку кэширование происходит после того, как все фильтры ISA Server 2004 выполнят свою работу. Настройка нового фильтра выполняется с помощью консоли управления ISA Server 2004 в глобальных установках HTTP.
Для выбора сети, в которой вы хотите использовать HTTP-компрессию, нажмите Add (Добавить).
Рисунок 16: Включение HTTP-компрессии / декомпрессии
Для установки настроек для выбранной сети нажмите Set Compression (Установить компрессию).
Рисунок 17: Настройка на ответ сжатым содержимым
При выборе Reply with compressed HTTP content (Ответ сжатым содержимым HTTP), ISA-сервер возвращает сжатое содержимое, если клиент выбранной сети запрашивает компрессию.
При выборе Request compressed HTTP content (Запрос сжатым содержимым HTTP), ISA-сервер будет запрашивать сжатое содержимое.
Рисунок 18: Выбор типов для компрессии
Следующие типы данных не могут быть сжаты:
Существует возможность включения и отключения компрессии входящих пакетов. Если вы отключите декомпрессию входящих пакетов, web-фильтры ISA-сервера не смогут проверять содержимое.
Компрессия и декомпрессия входящих пакетов может увеличить время доступа и загрузку ISA-сервера.
Рисунок 19: Включение и отключение HTTP-компрессии
Настройка ISA Server 2004 на использование SSL-сопряжения стала для администраторов ISA-сервера очень трудоемкой задачей, поскольку многие не знают верного способа запроса сертификатов для SSL-публикаций и использования сертификатов в ISA-сервере. В ISA Server 2004 SP2 встроены некоторые улучшения данной задачи в форме дополнительной информации. Например, web-приемник SSL при настройке может предоставить вам информацию о работе с сертификатами.
В ISA Server 2004 Enterprise SP2 компания Microsoft изменила CARP (Cache Array Routing Protocol –Протокол маршрутизации массива кэша), протокол для определения члена массива, который будет обрабатывать запрос. CARP приписывает все запросы отдельного узла, например, http://www.it-training-grote.de/, определенному члену массива, и трафик кэшируется только на одном члене массива.
В ISA Server 2004 SP2 встроено много новых функций для облегчения работы схемы сети с главным офисом и филиалами и для уменьшения полосы пропускания при загрузке обновлений Windows. ISA Server 2004 SP2 поддерживает Diffserv для HTTP. Помните, что вся остальная инфраструктура сети, например, маршрутизаторы, должна также поддерживать Diffserv. Microsoft рекомендует не задерживаться с установкой ISA Server 2004 SP2.
www.isaserver.org
Tags: cache, carp, ISA Server, mac, Microsoft ISA Server, qos, redirect